セッションハイジャック - セキュリティ対策関連キーワード | NTTスマートコネクト

セキュリティ対策関連キーワード

セッションハイジャック

セッションを乗っ取り、気づかないうちに情報を搾取する「セッションハイジャック」

セッションハイジャックとは、Webアプリケーションなどとの通信時に交わされるセッションを乗っ取り、そのユーザーになりすまして通信することです。セッションとは、一連の関連した動作を含む通信をひとまとめにした単位です。セッションとしてまとめることで、たとえば個別の処理ごとにシステムへログインする必要がなくなり、ユーザーの利便性が増します。

セッションハイジャックは、セッションの特定に必要なセッションIDを推測したり、XSSによるサイバー攻撃によってセッションIDやcookie情報を窃取したりしてセッションを乗っ取ります。また、逆に攻撃者側がすでに知っているセッションIDをユーザーに使わせて、情報を搾取する等のセッションフィクセーション攻撃という方法も存在します。
セッションハイジャックによって、オンラインバンキングの不正送金やクレジットカード情報窃取による不正使用などの金銭的被害をはじめ、個人情報や機密情報など窃取や改ざん、サーバへの不正侵入などの被害が発生する恐れがあります。

キ-ワード一覧へ戻る